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О применении интеллектуального анализа 
данных для защиты информации 
корпоративных систем 


В статье предлагается методика построения адаптивной саморазвивающейся системы защиты информации 
для корпоративных систем. При построении системы использованы методы и базовые подходы интеллектуального 
анализа данных. Система предназначена для решения единой задачи защиты компьютерных сетей, баз 
данных и систем автоматической обработки информации. Приведены элементы использования методологии 
интеллектуального анализа данных в системе водоснабжающей отрасли. 


Введение 


Интеллектуальный анализ данных (ИАД) является одним из прогрессивных 
способов анализа больших объемов данных. Это процесс обнаружения и дальнейшего 
применения знаний или ранее неизвестной информации из уже имеющихся наборов 
[1], основными задачами которого являются классификация; ассоциация; кластери- 
зация; прогнозирование; последовательность. 

Инструментальные средства создания интеллектуальных приложений представле- 
ны разработками фирм компании Со5по$, средства С2 фирмы Сепзут Согр, Мшезе 
фирмы ЗШсоп Отарыс$, ПиеШеет Мтег фирмы 1ВМ, 11$ фирмы шЮгтайоп ПО/5соуету. 
Универсальные средства ИАД довольно сложны и дороги, поэтому они не всегда приме- 
няются в интегрированных системах, ориентированных на конечного пользователя. 

Интеллектуальный анализ данных используется во многих сферах деятельности 
современного общества, помогая решать разнообразнейшие задачи. Это, например, стра- 
хование, банковское дело, маркетинг, анализ финансовых рисков, мониторинг оборудова- 
ния и технологических процессов, телекоммуникации, компьютерная безопасность и т.д. 

В области компьютерной безопасности методы ИАД тесно связаны с созданием 
перспективных систем защиты информации (СЗИ). Именно методология ИАД помога- 
ет реализовать в СЗИ эволюционные свойства адаптации, самоорганизации, обучения, 
возможности наследования и представления опыта экспертов информационной безопас- 
ности в виде доступной для анализа системы нечетких правил. 


Интеллектуальный анализ в корпоративных 
информационных системах 


Наиболее сложными современными информационными структурами, ориенти- 
рованными на крупные компании, являются корпоративные системы. Для них характерно 
использование множества компьютеров, архитектура клиент-сервер, специализация сер- 
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веров, наличие единого информационного пространства, разветвленная сеть приема- 
передачи данных. Базы данных КИС содержат огромные объемы данных и обладают 
всеми признаками сложной системной организации. Информационные пространства 
КИС включают реляционные и объектные СУБД, транзакционные базы данных, вре- 
менные ряды и числовые данные большого объема, многомерные ОГАР-хранилища. 

Примерами коммерческих корпоративных систем являются системы В/З фирмы 
ЗАР, Огафе Арр|Исаноп, Мпсгозой Визшез$ ЗоаНоп Мау1з1юп, система «Парус», приклад- 
ное решение для системы «1С: Предприятие 8.0» «Управление производственным пред- 
приятием», корпоративные информационные системы фирмы «Атлас», корпоративные 
информационные проекты на базе технологии Г.оба$ М№ое5/Дотпо. В [2] рассмотрены 
гибридные интеллектуальные системы, которые позволяют эффективно соединять фор- 
мализуемые и неформализуемые знания за счет интеграции традиционных средств 
искусственного интеллекта, примеры слияния корпоративных и интеллектуальных систем. 

Дополним сделанный ранее обзор информацией об использовании ИАД в ком- 
мерческих корпоративных системах. 

Комплексным программным решением сферы бизнес-аналитики, обеспечива- 
ющим быстрый доступ к информации и использование ее в принятии стратегически 
важных решений фирмы ЗАР, является подсистема ЗАР Визшез$ ПиеШеепсе (ЗАР В|. 
Основой решения является хранилище данных, разработанное для хранения внутренней 
и внешней информации, включающей документацию, видео- и аудиоклипы. Оно объе- 
диняет информацию по всей платформе ЗАР Визшез$ Зиаце и предоставляет возмож- 
ность быстро реагировать на изменения рынка, контролировать показатели основных 
факторов успеха, анализировать и оптимизировать производительность предприятия 
на основе единой бизнес-модели. 

Компания Огабе предоставляет полный спектр продуктов в области интеллек- 
туального анализа данных — от различных инструментальных средств до готовых 
приложений - и предлагает их использование в соответствии с проблемами пользователя. 
Наиболее популярными инструментами являются Огасе ОГАР и Огасе аа Миши. 
Средства ОГАР (оперативная аналитическая обработка данных) полезны там, где речь 
идет о многомерных показателях, их иерархическом агрегировании и детализации, мо- 
делировании. 

Мисгозой БОГ Зегуег 2008 предоставляет интегрированную среду для создания 
моделей интеллектуального анализа данных и работы с ними. Эта среда называется 
Мисгозой ЗОГ, Зегуег Апа[у$15 Зегу1сез и состоит из набора специальных инструментов 
(Визшез$ ПиеШоепсе ПеуеюортепЕ Зо, ЗОГ, Зегуег Мапазетет Зи4ю, Мисгозой 
ЗОГ, 5егуег 2008 ПиезгаНоп Зегу1сез, ВТ Реуеюртеп{ За). Данная среда включает 
алгоритмы интеллектуального анализа данных и средства, облегчающие разработку 
комплексного решения, применимого в рамках самых разных проектов. 

Система «1С Предприятие 8.0» имеет специальный инструмент — «Подсистема 
анализа данных», которая может быть встроена в любую конфигурацию платформы. 
Она призвана помочь пользователям корпоративной информационной системы нахо- 
дить ответы на нетривиальные вопросы. Обеспечивает автоматизированное преобра- 
зование данных, накопленных в корпоративной информационной системе, в практически 
полезные и хорошо интерпретируемые закономерности, реализует группировку от- 
носительно сходных объектов; поиск устойчивых комбинаций событий и объектов 
(ассоциации); обеспечивает построение причинно-следственной иерархии условий, при- 
водящей к определенным решениям (дерево решений). 
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Особенностью многих коммерческих корпоративных систем является то, что сис- 
темы безопасности изначально в их состав не входят, а, несмотря на наличие инстру- 
ментария, должны подбираться и приобретаться отдельно. 

Это приводит к дополнительным затратам (финансовым, временным, трудовым, 
материальным и т.д.) при приобретении, настройке и эксплуатации систем, требует раз- 
работки согласований при интеграции двух разнородных систем. 


Интеллектуальный анализ данных в обеспечении 
информационной безопасности 


Современные компьютерные системы и сети находятся в состоянии постоян- 
ного развития и модификации, а объемы анализируемых данных в мире удваиваются 
каждый год. Поэтому для обеспечения требуемого уровня защиты информации необ- 
ходимо гибко и оперативно реагировать на изменяющиеся условия, обеспечивать надеж- 
ную защиту с учетом постоянного изменения входных воздействий, предупреждать 
действия злоумышленников, т.е. иметь адаптивную и саморазвивающуюся СЗИ. 

Целью данной работы является разработка методики применения интеллектуаль- 
ного анализа данных для построения адаптивной саморазвивающейся системы защиты 
информации в корпоративных системах. 

Необходимость использования инструментария интеллектуального анализа данных 
в СЗИ корпоративных систем проистекает из разнородности структур информационных 
пространств этих систем; сложности получения аналитической информации из баз 
данных значительного объема; большого числа пользователей, одновременно работа- 
ющих в системе; требований постоянного контроля функционирования и принятия об- 
основанных управленческих решений, зависящих от множества факторов. 

Предпосылками использования ИАД в КИС является клиент-серверная технология, 
распределенные базы данных, наличие хранилищ информации, применение современных 
сетевых технологий и разнообразного инструментария, используемого для сбора, об- 
работки, визуализации и анализа данных. 

Особенностью систем защиты информации в корпоративных системах является 
комбинация как минимум трех проблем: защита информации в компьютерных сетях; 
обеспечение безопасности баз данных; обеспечение безопасной работы систем авто- 
матической обработки информации [3]. 

К часто используемым в компьютерных сетях интеллектуальным средствам от- 
носят базы знаний в составе экспертных систем, системы на основе байесовского ме- 
тода, нечеткие логические системы, нейронные сети, эволюционные методы и гибридные 
интеллектуальные системы. Основными задачами, решаемыми интеллектуальными средст- 
вами обеспечения информационной безопасности компьютерной сети, являются клас- 
сификация и кластеризация. 

С интеллектуальными средствами обеспечения безопасности БД можно познако- 
миться в [4]. Указано, что система информационной безопасности баз данных должна 
использовать средства и объекты применяемой системы управления базами данных 
(СУБД), объекты и средства базы данных, набор правил и событий, характеризующих 
действия пользователей. В [5] указано, что именно фиксация событий позволяет сос- 
тавить представление о том, чем интересуется каждый из пользователей, составлен 
перечень основных регистрируемых событий. 

К средствам обеспечения безопасной работы систем обработки информации отно- 
сятся механизмы предотвращения вторжений, авторизация, разграничение прав доступа, 
криптозащита (на носителях информации, в сетях, парольная защита), управление полно- 
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мочиями пользователей. С целью контроля состояния системы используют базы сигнатур 
известных атак, а в качестве основных источников информации — системные журналы и 
файлы, анализируют содержимое сетевого трафика и файлов. 

При традиционном подходе к построению системы защиты с применением 
инструментария ИАД используются искусственные нейронные сети, деревья решений 
и алгоритмы классификации, методы нечеткой кластеризации, ассоциативные правила, 
алгоритмы ограниченного перебора, кластерный анализ. 

Нейронные сети используются для контроля трафика защищаемой локальной 
сети, поиска скрытых закономерностей в массивах первичных данных, выявления 
вторжений. Для предсказания значения целевого показателя используются наборы 
входных переменных, математических функций активации и весовых коэффициентов 
входных параметров. Выполняется итеративный обучающий цикл, нейронная сеть 
модифицирует весовые коэффициенты до тех пор, пока предсказываемый выходной 
параметр соответствует действительному значению. После обучения нейронная сеть 
становится моделью, которая применяется при прогнозировании. 

Механизмы классификации используются на первоначальном уровне, например, 
для систематизации способов защиты (нечеткие заключения) по вектору нечетких 
признаков угроз. Если достоверность классификации по известным угрозам меньше 
некоторого уровня, то при наличии признаков атаки классификация расширяется за 
счет введения новой градации в классификацию — решается задача кластеризации 
угроз. Ассоциации выявляют причинно-следственные связи и определяют вероятности 
или коэффициенты достоверности, позволяя делать соответствующие выводы. 

В основном публикации о применении интеллектуальных систем защиты информа- 
ции посвящены системам обнаружения атак, основанных на модели, предложенной 
Деннингом. Модель содержит набор профилей для легальных пользователей, 
сравнивает текущие действия с соответствующим профилем, обновляет профиль и 
сообщает о любых обнаруженных аномалиях. 

Недостатками традиционного подхода являются: 

1. Базы знаний формируются экспертами, т.е. принцип включения в них ситуаций 
субъективен. 

2. Базы знаний необходимо периодически обновлять, упорядочивать, систематизи- 
ровать, что является трудоемкой и дорогостоящей процедурой. 

3. При традиционном подходе существует задержка во времени между появлением 
новой атаки и средств защиты от нее (запаздывающее противодействие). 

4. Атаки постоянно видоизменяются, совершенствуются, «маскируются» под 
стандартные процедуры, что требует постоянного совершенствования, усложнения 
средств защиты. 

С учетом вышесказанного проблема эволюционного развития систем информа- 
ционной безопасности (СИБ) актуальна. 


Построение адаптивной саморазвивающейся 
системы защиты 


Построение модели интеллектуального анализа данных является частью масштаб- 
ного процесса, в который входят все задачи, от формулировки вопросов выбора и 
хранения данных и создания модели до развертывания модели в рабочей среде. Перейдем 
к описанию особенностей построения адаптивной саморазвивающейся системы. 

В табл. 1 приведен перечень основных источников данных и содержащаяся в 
них информация, подлежащая анализу. 
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Таблица 1 — Источники анализируемых данных 


Источник данных Анализируемая информация 

время и тип выполняемых операций, сущность операций, 
соответствие пароля, сбои при установке связи с 
удаленной машиной, диагностика аварийных остановов 
загрузка сетевого оборудования, использование каналов 
связи, сетевая активность 


|ю2-файлы работающих 
подсистем 


сетевые трафики 


справочники и журналы 


„ | ШФ-коды пользователей, корректность паролей, 
регистрации пользователей 


выполняемые действия 


и событий 
перечни функциональных 
АН цепочки взаимосвязанных вызовов задач и процессов 
информация о правах т 

соблюдение регламента обращений к ресурсам 
доступа 
сведения о работе почтовой | статистика, объемы и адресность рассылок и почтовых 
системы поступлений, тематика сообщений 
текстовые файлы тематическая направленность 
книги Ехсе] безопасность, наличие/отсутствие макросов 


типы файлов, даты создания и изменения, авторы 
изменений и их права, контроль «неизменности», адреса 
эталонных модулей, контрольные суммы 


таблицы с атрибутами 
исполняемых файлов 


Источниками данных для анализа являются системные журналы событий, 
временные файлы серверов и рабочих станций, 10э-файлы работающих подсистем, 
сетевые трафики, справочники и журналы регистрации пользователей и событий, 
перечни функциональных задач и информация о правах доступа, сведения о работе 
почтовой системы, текстовые файлы, книги Ехсе|, электронные сообщения, таблицы 
с атрибутами исполняемых файлов и т.д. 

Рабочие гипотезы: 

1. Активность пользователей, целевые обращения к ресурсам системы и происхо- 
дящие в системе процессы можно зафиксировать и построить их адекватную модель. 

2. Событие (или последовательность событий), соответствующее обобщенной 
модели атаки, действительно является атакой, и применение алгоритмов опережающего 
или одновременного противодействия является обоснованным. 

3. Система может отследить работу программного обеспечения системы и, об- 
наружив его повреждение, восстановить защиту, выполнить автоматическую докачку 
потерянных или поврежденных файлов. 

Механизм применения ИАД для адаптивной саморазвивающейся СЗИ можно 
разбить на ряд этапов. 

1. Постановка задачи. На этом этапе выполняется анализ требований, опреде- 
ляются проблемы, которые будут решаться, метрики, по которым выполняется оценка 
модели, а также определяются задачи для проекта интеллектуального анализа данных. 
На этом этапе исследуются уровни конфиденциальности данных, потребности и права 
пользователей в отношении доступных данных, методы идентификации и аутенти- 
фикации, традиционно используемые на предприятии. 

При этом риски информационной безопасности системы могут быть определены 

как функция трех переменных: 
— вероятности существования угроз (потенциально возможных событий, преднаме- 
ренных или случайных, которые могут оказать нежелательное воздействие на корпо- 
ративную систему или её части, либо на информационные активы и, как следствие, 
на бизнес-процессы компании); 
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— вероятности существования уязвимостей (недостатков или недоработок в системе, 
из-за которых становится возможным нежелательное воздействие на нее со стороны 
злоумышленников, неквалифицированного персонала или вредоносного кода); 

— потенциальных убытков, которыми являются потенциально возможные прямые и 
косвенные финансовые потери, полученные вследствие реализации угроз и наличия 
уязвимостей. 

Наиболее актуальными угрозами информационной и сетевой безопасности кор- 
поративных систем являются: 

— угрозы, связанные со злонамеренной модификацией параметров функционирования 
системы внутренними нарушителями или неквалифицированными пользователями; 

— угрозы несанкционированного доступа к конфиденциальной информации, имеющей- 
ся в системе и сети корпорации, с целью ознакомления, модификации или блокирования; 
— угрозы, связанные с разграничением прав доступа и сложностью администриро- 
вания в распределенной системе; 

— угрозы, связанные с вирусной атакой на рабочую станцию пользователя, локаль- 
ную или корпоративную сеть предприятия; 

— угрозы, связанные с передачей информации по каналам связи и работе в сети Пегпе 
(возможное деструктивное действие различных вредоносных программ), потенциальная 
угроза безопасности как с точки зрения несанкционированного доступа к информации 
извне, так и просто из-за возможности несанкционированной работы пользователей 
в Интернете. 

2. Сортировка и очистка данных. На этом этапе данные упорядочиваются, удаля- 
ются недопустимые и ошибочные комбинации, определяются первоисточники данных, 
строятся согласования, подбираются, например, столбцы, данные из которых могут 
быть использованы в анализе. Данные могут находиться в разных подразделениях 
компании и храниться в различных форматах, что потребует применения механизмов 
интеграции гетерогенных систем. 

Алгоритмы сортировки оцениваются по скорости выполнения и эффективности 
использования памяти. Если алгоритм сортировки использует только абстрактную 
операцию сравнения ключей, то его вычислительная сложность О(п10еп) операций 


сравнения. При параллельном вычислении и ситуаций можно отсортировать за О(10з’ п) 
операций, а худшими являются алгоритмы сортировки, вычислительная сложность ко- 
торых — О(и”) операций. Требуемый объем памяти для реализации алгоритмов сорти- 
ровки, как правило, составляет О(о2п) ячеек. 


Методы сортировки, рекомендуемые для использования в системе: сортировка 
вставками (может сортировать список по мере его получения), блочная сортировка 
(относится к классу быстрых алгоритмов с линейным временем исполнения О(№)). 

3. Классификация регистрируемых событий, например, угроз по вектору призна- 
ков атак и механизмов защиты по вектору угроз, выделение кластеров. Используются 
средства, упрощающие разделение данных на набор данных для обучения и прове- 
рочный набор данных. 

Задача классификации — одна из наиболее распространенных задач в анализе 
данных. На сегодняшний день разработано большое число подходов к решению задач 
классификации, использующих такие алгоритмы, как: деревья решений, нейронные сети, 
логистическая регрессия, метод опорных векторов, дискриминантный анализ, ассоциа- 
тивные правила. Одним из эффективных алгоритмов классификации является так назы- 
ваемый «наивный» (упрощенный) алгоритм Байеса. С точки зрения быстроты обучения, 
стабильности на различных данных и простоты реализации, алгоритм Байеса превосходит 
практически все известные эффективные алгоритмы классификации. Обучение алгоритма 
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производится путем определения относительных частот значений всех атрибутов вход- 
ных данных при фиксированных значениях атрибутов класса. Классификация осуществ- 
ляется путем применения правила Байеса для вычисления условной вероятности каждого 
класса для вектора входных атрибутов. Входной вектор приписывается классу, условная 
вероятность которого при данном значении входных атрибутов максимальна. Алгоритм 
строится в предположении, что входные атрибуты условно (для каждого значения класса) 
независимы друг от друга [6]. 

4. Предварительный статистический анализ данных, получение контрольных 
метрик и закономерностей. Создание структуры интеллектуального анализа данных. 
В дальнейшем эти данные могут использоваться несколькими подсистемами интел- 
лектуального анализа, например, уже упоминаемыми ранее подсистемами нерегла- 
ментированных действий пользователей или системой анализа вторжений, модели 
которых построены по одной структуре. 

5. В дальнейшем результаты предыдущих пунктов представляются в виде систем 
нечетких правил, которые реализуются в виде специализированных структур, подбор 
классификаторов, формирование признака структуры (Р°з). Анализ данных и формирова- 
ние признаков происходит постоянно и независимо от дальнейшей работы алгоритма. 
Изменение параметра Р$ свидетельствует об изменении условий внешней среды 
(появление, например, нового вида атаки и необходимости либо выбора иной модели 
процесса, либо обучения прежней на новом наборе данных). 

Правила представляются в виде «если» — «то» и также используются для прогно- 
зирования. На основе частоты встречаемости логических закономерностей делается 
вывод о возможном событии. Например, цепочка МО — СОРУ АЗ — АКН - \/\/\/ - РЕГ — 
ассоциируется с копированием информации из конфиденциального источника и пере- 
дачей его по Пиегше-каналам. 

6. Построение модели. На этом этапе модель представляет собой просто математиче- 
ское выражение, контейнер, еще не наполненный данными. При этом, если возникает не- 
обходимость изменения данных, это приводит к необходимости обновить и структуру, и 
модель интеллектуального анализа данных, изменить признак Р5. 

Перед развертыванием модели в рабочей среде необходимо проверить эффек- 
тивность работы модели. Кроме того, во время построения модели обычно создается 
несколько моделей с различной конфигурацией, а затем проверяются все модели, 
чтобы определить, какая из них обеспечивает лучшие результаты для поставленной 
задачи и имеющихся данных. 

7. Передача опыта адаптивной СЗИ (наследование) по обеспечению информаци- 
онной безопасности. 

8. Обучение классификаторов на обучающей выборке подмножеству входных 
векторов, формирование информационных полей четких классификаторов. 

9. Адаптация системы к реальным условиям. 

10.Коррекция матриц экспертных оценок и систем нечетких правил по результатам 
адаптации. 

При этом решение о расширении классификаций атак и механизмов защиты произ- 
водится в соответствии с системой оценок достоверности нейтрализации угроз в разрезе 
отдельных механизмов защиты. Обосновать целесообразность использования механизма 
защиты в составе многоуровневой СЗИ можно, например, по матрице достоверности ис- 
пользования механизмов защиты для нейтрализации угроз [6]: 


где те; — элементы матрицы достоверности «угрозы — механизмы защиты». 
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11. Формулирование новых нечетких правил в случае расширения классификации. 

12. Формирование комплекса оценок защищенности системы. 

13. Анализ структуры классификаторов и выявление недостатков в системе защиты, 
включение в систему дополнительных механизмов защиты, контроль целостности 
данных и программных модулей. 

14. При необходимости — восстановление программной среды, изменение струк- 
туры системы информационной безопасности. 


Использование эффективных алгоритмов 


Одной из наиболее важных задач при обеспечении безопасности компьютерной 
системы является сбалансированность уровня еб защищенности и производительности. 
Применение средств защиты информации в корпоративной системе снижает ее произво- 
дительность по обработке пользовательской информации ввиду дополнительных затрат 
времени на реализацию функций защиты. Уровень защищенности и производительность 
компьютерной системы находятся в обратно пропорциональной зависимости друг от 
друга, т.е. с ростом уровня защищенности снижается производительность и наоборот. 

Но построение адаптивных саморазвивающихся систем защиты невозможно без 
быстродействующих алгоритмов. Например, как было указано выше, одним из недоста- 
тков традиционного подхода является задержка во времени между появлением новой 
атаки и средств защиты от нее. 

В теории СЗИ различают одновременное, опережающее и запаздывающее противо- 
действие. Запаздывающее противодействие — когда реакция системы защиты начинается 
к моменту завершения угрозы или после нее. Одновременное противодействие -— то, что 
начинается с появлением угрозы. И, наконец, противодействие, носящее опережающий 
характер, — когда реакция системы защиты начинается до начала реализации угрозы. 

Идеальным вариантом является опережающее противодействие, а для этого необхо- 
димо не только наличие методик, позволяющих своевременно обнаружить угрозу безо- 
пасности системе, но и применение алгоритмов, способных выполнить анализ ситуации и 
выявить предпосылки для такого вторжения. Применение Т-эффективных алгоритмов [7] 
при решении задач сортировки, дешифрации, распознавания и их использование в 
системе защиты позволяет добиться не только одновременного, но в ряде случаев и 
опережающего противодействия. 

В заключение укажем ряд направлений в корпоративной системе водоснабжающей 
отрасли, где также необходимо применение ИАД. 

1. Биллинговые подсистемы. Методы и средства интеллектуального анализа 
данных необходимы для контроля данных по абонентам, выявления сложных взаи- 
мосвязей типа параметра «недействующий лицевой счет», в формирование которого 
включено до 18 начальных признаков. 

2. Системы контроля отгрузки продукции («водомерный учет»). При этом исходной 
рабочей структурой являются водопроводные и водоотводящие сети предприятия. 
Механизмы ИАД необходимы для выявления наиболее вероятных мест хищения 
продукции (незаконные врезки). 

3. Системы прогноза получения оплат за отгруженную продукцию («недобросо- 
вестный потребитель»). В этих подсистемах производится анализ финансовых рисков, 
связанных с фактическим кредитованием потребителей, что возникает по причине работы 
отрасли по схеме: первое событие — отгрузка, последующее — оплата. 

Среди особенностей описываемой СЗИ хотелось бы подчеркнуть следующее: 

1. Одной из функций системы является анализ «неповрежденности» вирусными 
атаками программных модулей корпоративной системы, для чего строятся, при замене 
версий программных продуктов корректируются, а в процессе работы системы постоянно 
контролируются матрицы атрибутов программных файлов (МаРЕ). 
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2. Самовосстановление системы выполняется автоматически при получении от 
системы ИАД сигнала о несоответствии исходной (эталонной) и текущей МаРЕ. 
Кроме того, по регламенту или команде системы анализа происходит и запуск про- 
цедуры восстановления данных (Васкир-Кезюге). 

3. Система «не зависит» от своих частей. Каждая часть может функционировать 
и восстанавливаться отдельно и независимо. 

Кроме того, ИАД необходим для анализа и фильтрации электронной почты 
масштаба предприятия, классификации \\еБ-операций, рубрикации электронных до- 
кументов организации, анализа корпоративных учетных данных, финансово-эконо- 
мических зависимостей. 


Выводы 


Интеллектуальный анализ данных является необходимым и современным дополне- 
нием такой крупной информационной структуры, как корпоративная система. Одной из 
её составных частей является система защиты информации. Средства защиты должны 
постоянно совершенствоваться и развиваться, ввиду чего предложенный в работе меха- 
низм построения адаптивной саморазвивающейся СЗИ является актуальным, а использо- 
вание наряду с ИАД быстрых алгоритмов увеличит эффективность системы, что является 
темой отдельного исследования. 
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Н.А. Маслова 

Про застосування штелектуального аналву даних з метою захисту нформацй у корпоративних системах 
У стати пропонуеться методика побудови адаптивно! системи захисту для корпоративних систем, що мае 
змогу розвиватися самостйно. При побудов! системи використано методи 1 базов! прийоми 1нтелектуального 
аналзу даних. Система призначена для рипення едино! задач захисту комп’ютерних мереж, баз даних 1 
систем автоматично! обробки 1нформацй. Наведено елементи використання методологий 1нтелектуального 
анал!зу даних у систем! водопостачально! галуз1. 


№.А. Мазоуа 

АБош Арр|сайоп о! ПиеПесиа! аа Мшио Юг ЗесигНу оЁ Фе Согрогае Зузбетб$ 

ТБе тефо4 оЁ соп$бласНоп оЁ адарНуе зузетл$ оЁ зесиу Юг фе согрогае зузетл$ 1$ оНегед ш Фе агае. Еог 
сопеласноп оЁ фе зузет аге и5е4 те@о45 ап4 Базе арргоасВез оЁ пиеПесвла| дава плите. бузет 1$ ниепдеа Юг 
Фе 4естчоп оЁ зшае 1а5К оЁ деЁепсе оЁ соппршег$ пебуогКз; дааБазез ап зузет$ оЁ ащютайс ргосеззте оЁ 
ш®плайоп. ТБе ееглеп оЁ фе изе оЁ тефо4о]осу оЁ ищеПесвла] даа тшше ш Фе зубет оЁ маег-зирру 
ша4изгу аге оНегед. 
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